Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kamu Google tanúsítványok - Frissítés

2011.08.30. 10:23 | buherator | 6 komment

A Google nevére illetéktelen felek számára kiállított tanúsítvány jelent meg nem rég a neten. Először egy iráni felhasználónak lett gyanús, hogy a böngészője figyelmeztetést dob a GMail.com meglátogatásakor, mivel az oldal tanúsítványa megváltozott. Az új hitelesítő információ egy holland CA-tól, a DigiNotartól származik.

Bár a tanúsítvány visszavonása megtörtént, a Comodo esetéből tudjuk, hogy ez a gyakorlatban nem sokat ér, így a Mozilla új böngésző kiadással fog jelentkezni az incidens emlékére.

Frissítés:

A DigiNotart birtokló Vasco Inc. kiadott egy közleményt az esettel kapcsolatban, jól figyeljetek:

A DigiNotar rendszerét július 19-én (!) érte támadás, melyet egy belső vizsgálat követett (értsd: mindenki másnak b*sztak szólni). A vizsgálat eredményeként az illetéktelenül kiállított tanúsítványokat visszavonták, de a szóban forgó google.com-os valahogy kimaradt (!!). A cég szerint az incidens hatása minimális, mivel a DigiNotar tanúsító üzletágának éves bevétele csak mintegy 100.000 EUR volt (!!!). Agyameldobom, komolyan.

Az F-Secure a fentieken kívül kiderítette, hogy a www.diginotar.nl-t az elmúlt évben többször megtörték, feltehetően iráni arcok, nyilván ez nem adott okot semmilyen aggodalomra a cégen belül.

Frissítés 2:

Érdemes elolvasni Dr. Berta István Zsolt gondolatait az esettel kapcsolatban! Néhány megjegyzés: 

  • A Mozillának az is jó ok lehetett a teljes DigiNotar gyökér letiltására, hogy nem ismert, pontosan milyen tanúsítványok készültek illetéktelenül. A legújabb pletykák szerint a Google mellett több nagy szervezet is érintett lehet.
  • A cég bevétele vagy a legitim módon kiállított tanúsítványok száma irreleváns abból a szempontból, hogy hány Google (vagy más) felhasználót lehet átverni egy "hamis" tanúsítvánnyal. Ez alapján nem szabadna a problémát bagatelizálni (ahogy azt a Vasco tette)

Frissítés 3:

A Mozilla újabb közleményt adott ki, melyben megmagyarázzák, hogy miért törölték véglegesen a DigiNotart a megbízható CA-k listájáról. A legfőbb indokok:

  • A DigiNotar nem figyelmeztette a Mozillát, pedig az addons.mozilla.org-ra is állítottak ki tanúsítványt a támadók.
  • Nem lehet tudni, hogy pontosán mennyi és milyen tanúsítvány került kibocsátásra.
  • Éles támadásokat észleltek, melyekben DigiNotaros tanúsítványokat használtak fel.

Címkék: google gmail incidens mozilla pki crl diginotar

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Tyra3l 2011.08.30. 10:48:04

a google is bejelentette, hogy letiltja a kovetkezo chrome kiadasban a DigiNotar-os CA-t.
googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html

Tyrael

Tyra3l 2011.08.30. 16:05:31

ugy tunik, hogy nem fogtak fel/nem erdekli oket, hogy ez az eset nem azert hirerteku, mert mekkora bizalomvesztest okozhat ez a DigiNotar jelenlegi es leendo vasarloiban. :/

Tyrael

nyos 2011.08.30. 21:58:33

Hat ha ez elobb kiderul, nyerhettek volna egy szep, kezzel festett ponit uberepicfail valasz kategoriaban.

loolek · http://loolek.tumblr.com 2011.09.05. 20:33:51

The Dutch government has now shed some light on this by releasing a list of 531 fraudulent certificates associated with Diginotar.

From the looks of it, the hackers didn't just target big internet services from Google, Yahoo, Facebook, Microsoft, and so on, but intelligence agencies as well, with www.sis.gov.uk, www.mossad.gov.il and www.cia.gov, allegedly being among the targeted domains.

Furthermore, the hackers tried to use their access to issue rogue root certificates for other CAs like Comodo, Equifax, Verisign and Thawte.

ps: Dutch CA banished for life from Chrome, Firefox
Game over for DigiNotar and its PKIoverheid fiefdom